万本电子书0元读

万本电子书0元读

顶部广告

Rootkit隐遁攻击技术及其防范电子书

售       价:¥

纸质售价:¥43.50购买纸书

81人正在读 | 4人评论 6.2

作       者:张瑜

出  版  社:电子工业出版社

出版时间:2017-01-01

字       数:23.8万

所属分类: 科技 > 计算机/网络 > 计算机理论与教程

温馨提示:数字商品不支持退换货,不提供源文件,不支持导出打印

为你推荐

  • 读书简介
  • 目录
  • 累计评论(4条)
  • 读书简介
  • 目录
  • 累计评论(4条)
本书系统论述了Rootkit隐遁攻的概念、原理、应用技术及检测取证。首先,简要回顾了Rootkit的由来、定义、原理、类型及其演化。其次,阐述了Rootkit技术的基础理论,包括硬件系统、软件系统,以及Windows内核驱动程序设计。然后,重探讨了Rootkit攻技术的具体类型及其实现,包括用户层Rootkit、内核层Rootkit、固件Rootkit及硬件Rootkit。*后,从防御的角度讨论了Rootkit检测与取证技术,以及Rootkit未来的发展趋势。 本书取材新颖,聚焦前沿,内容丰富,可作为IT和安全专业人士的研究指导用书,同时也适合作为高等学校计算机安全专业本科、研究生的参考教材。<br/>【作者】<br/>张瑜,博士,教授,2009年6月毕业于四川大学计算机学院,获工学博士学位,并获四川大学优秀博士毕业生称号。现任职于海南师范大学信息学院,网络与信息安全学术带头人,海南省信息安全委员会委员。2013年受国家留学基金委资助,赴美国Sam Houston State University访学一年,在网络安全领域与美方行了深度科研合作。主持国家自然科学基金、*、海南省重研发计划项目、海南省自然科学基金等国家计划项目的研究,在国内外权威期刊上发表论文30余篇,20多篇被SCI、EI收录。已出版《计算机病毒化论》、《免疫优化理论及其应用》等专著,申请国家发明专利2项。<br/>
目录展开

内容简介

前言

第1章 Rootkit概述

1.1 Rootkit的由来

1.2 Rootkit的定义

1.3 Rootkit的原理

1.3.1 计算机系统的抽象

1.3.2 Rootkit设计理念

1.4 Rootkit的类型及其演化

1.5 本章小结

第2章 硬件系统

2.1 保护模式概述

2.2 保护模式执行环境

1.段寄存器

2.通用寄存器

3.指针寄存器

4.变址寄存器

5.标志寄存器

6.控制寄存器

7.描述符表寄存器

2.3 保护模式CPU特权级

2.4 保护模式内存分段与分页

1.地址转换

2.分段与分页

2.5 内存访问控制体系

2.6 本章小结

第3章 软件系统

3.1 Windows系统的设计原则

1.分层体系

2.客户/服务器体系

3.2 Windows系统的体系结构

3.3 Windows的分段与分页

3.4 Windows系统服务调用机制

3.4.1 中断分发

1.硬件中断

2.软中断请求级别(IRQL)

3.4.2 异常分发

3.4.3 系统服务分发

1.系统服务分发

2.内核模式的系统服务分发

3.Rootkit隐身之处

3.5 本章小结

第4章 Windows内核驱动程序

4.1 概述

4.2 重要数据结构

1.I/O请求包IRP

2.驱动对象Driver_Object

3.设备对象Device_Object

4.2.1 IRP

4.2.2 I/O堆栈

4.2.3 IRP的传递与完成

4.3 WDM驱动的基本结构

4.3.1 DriverEntry

1.DriverEntry

2.NTSTATUS

3.PDRIVER_OBJECT

4.PUNICODE_STRING

5.设备对象(DEVICE_OBJECT)

4.3.2 AddDevice

4.3.3 IRP处理例程

4.3.4 Unload

4.3.5 内核驱动程序实例

4.4 本章小结

第5章 用户层Rootkit

5.1 用户层Rootkit概述

5.2 用户层Rootkit技术

5.2.1 IAT钩子

1.PE文件格式

2.IAT钩子技术

5.2.2 Inline Function钩子

5.2.3 DLL注入

5.2.4 DLL劫持

5.3 本章小结

第6章 内核层Rootkit

6.1 内核层Rootkit概述

6.2 内核层Rootkit技术

6.2.1 系统表格钩子

1.SSDT钩子

2.IRP钩子

3.GDT钩子

4.MSR钩子

5.IDT钩子

6.Rootkit对抗杀毒软件示例

6.2.2 映像修改

1.Detours

2.Inline Hook

6.2.3 过滤驱动程序

6.2.4 直接内核对象操纵(DKOM)

6.3 本章小结

第7章 底层Rootkit

7.1 扩展的处理器模式

7.1.1 系统管理模式

7.1.2 虚拟机技术

7.2 固件

7.2.1 板载BIOS

7.2.2 扩展ROM

7.2.3 ACPI组件

7.2.4 UEFI组件

7.3 硬件

7.4 本章小结

第8章 Rootkit检测与取证分析

8.1 Rootkit检测概述

1.软件检测法

2.硬件检测法

8.2 Rootkit检测技术

8.2.1 IAT Hook检测示例

8.2.2 IRP Hook检测示例

8.2.3 IDT Hook检测示例

8.2.4 MSR Hook检测示例

8.2.5 SSDT Hook检测示例

8.2.6 Inline Hook检测示例

8.2.7 基于免疫的Rootkit检测技术

1.模型理论

2.实验仿真

8.3 Rootkit检测工具

8.4 Rootkit取证分析

8.4.1 证据的获取与存储

8.4.2 取证分析

1.静态取证分析

2.动态取证分析

3.基于免疫的Rootkit内存取证分析

8.5 Rootkit取证工具

8.5.1 磁盘镜像工具

1.Guidance EnCase

2.GetData Forensic Imager

3.Guymager

4.AccessData FTK Imager

5.X-Ways Forensics

8.5.2 内存镜像工具

1.OSForensics

2.BeIkasoft Live RAM Capturer

8.5.3 内存分析工具

8.5.4 进程转储工具

8.5.5 时间轴取证工具

8.5.6 证据收集工具

8.5.7 电子邮件取证工具

8.5.8 大数据取证分析工具

8.6 本章小结

第9章 Rootkit的未来

9.1 Rootkit的发展趋势

9.2 Rootkit的防御方向

1.硬件级防御技术[65,66,219,220]

2.操作系统级防御技术[221~223]

3.内存检测取证技术[223,224]

4.免疫云智能防御技术[225,226]

参考文献

累计评论(4条) 4个书友正在讨论这本书 发表评论

发表评论

发表评论,分享你的想法吧!

买过这本书的人还买过

读了这本书的人还在读

回顶部